Datenschutzprüfungen durch Aufsichtsbehörden – Stabstelle im BayLDA

Datenschutzprüfungen durch Aufsichtsbehörden könnten durch die neu geschaffene Stabstelle des BayLDA (Bayerische Aufsichtsbehörde für Datenschutz) Fahrt aufnehmen. Die  Stabsstelle startet mit Datenschutzprüfung gegen die Welle von RansomwarenAttacken. Natürlich liegt der Fokus der Datenschutzprüfungen auf bayerischen Unternehmen, und deren Präventionsmaßnahmen. Den Auftakt macht die Prüfstelle mit einer Prüfung der Maßnahmen zur Absicherung von Ransomware-Angriffen.

Die Stabstelle führt ab und seit dem 30.11.2021 in kurzen schriftlichen und automatisierten Verfahren Prüfungen durch. Die Aufsichtsbehörde weitet damit die datenschutzrechtlichen Kontrollen in Bayern aus.

Eine Stabstelle in einer Aufsichtsbehörde schafft man nicht mal einfach so, sondern es ist eine Ausrichtung der gesamten Behörde aus der man deren Funktion ableiten kann.

Die Behörden werden aktiver. Man kann annehmen, dass nach der Schaffung der Stabstelle für Prüfungen im BayLDA mehr anlasslose und anlassbezogene, aber vor allem fokussierte und themenbezogene Datenschutzprüfungen stattfinden werden.

Abgesehen vom Druck der mögicherweise damit auf die bayerischen Unternehmen erhöht werden soll, sehen wir  in diesen Prüfungen auch eine Chance für Verantwortliche die eigenen technischen und organisatorischen Maßnahmen zu überprüfen, und an die rasant steigende Gefahrenlage von Ransomware-Attacken anzupassen.

Siehe dazu auch den Bericht über Die Lage der IT-Sicherheit in Deutschland 2021.

Zielgruppe der ersten BayLDA Datenschutzprüfung

Das BayLDA gibt für die anstehenden und laufenden Prüfungen konkrete Zielgruppen an. So werden nicht-öffentliche Stellen, wie Arztpraxen, Schulen, kleine und mittlere Unternehmen, sowie kleinere Krankenhäuser in die Prüfungen einbezogen.

Bei den genannten Zielgruppen werden u.a. besondere personenbezogene Daten, und Daten Schutzbedürftiger (Minderjähriger) verarbeitet, bei denen eine Verletzung des Schutzbedarfs folglich auch höhere Risiken für Betroffene bedeuten würden.

In dem Zusammenhang beachten Krankenhäuser und Arztpraxen das ab dem 01.01.2022 geltende Patientendatenschutzgesetz (PDSG) mit Anforderungen an ein ISMS.

Datenschutzprüfungen durch Aufsichtsbehörden sind Präventionsprüfungen

Bei den angekündigten Datenschutzprüfungen handelt es sich um sogenannte Präventionsprüfungen. Die Prüfung erfolgt dabei als Onlineprüfung.

Durch die aktuelle Gefährdungslage im Internet liegt der Fokus der ersten laufenden Prüfung im Bereich der Ransomware-Präventionsprüfung.

Nicht-öffentliche Stellen die ins Visier der Prüfung gelangen, erhalten vom BayLDA ein Anschreiben, einen Prüfbogen, eine Handreichung und ein Informationsblatt zur Prüfung.

Diese Dokumente stellt das BayLDA übrigens allgemein zur Verfügung:

Dabei behält sich das BayLDA vor, die angegebenen Maßnahmen im Einzelfall auch vor Ort zu prüfen. Neben dem Fragebogen können durch die bayerische Aufsichtsbehörde auch zusätzliche Unterlagen angefordert werden.

Prüfungsgrundlage der Datenschutzprüfungen durch Aufsichtsbehörden

Prüfungsgrundlage bilden hier die Schutzmaßnahmen zur Sicherheit der Verarbeitung nach Art. 32 DSGVO. Also Ihre getroffenen technischen und organisatorischen Maßnahmen um personenbezogene Daten zu schützen.

Der Prüfbogen beinhaltet ganz konkrete Fragen zu Ihrer Systemlandschaft, also zum Beispiel, ob ein aktueller und vollständiger Überblick über die IT-Systeme, sowie deren Komponenten besteht. Weitere Fragen betreffen das Patch Management, das Vorliegen eines Backup-Konzeptes, die Überprüfung des Datenverkehrs und Maßnahmen zu Awareness (Sensibilisierung / Schulung) und Berechtigungen.

Müssten Sie die gestellten Fragen im Fragebogen mit Nein beantworten, müssten Sie Ihre Antworten immer auch begründen.

Konkreter Fokus der Datenschutzprüfung

Um den Fragebogen des BayLDA beantworten zu können, benötigten Sie gute Kenntnisse über Ihre IT.

Systemlandschaft

Ein Überblick aller IT-Systeme samt der eingesetzten Komponenten, das bedeutet eine IT-Inventarisierung, ist für die Beantwortung des Fragebogens sozusagen Voraussetzung.

Patch Management

Sie benötigen technische und organisatorische Regelungen, wie Sie Updates und Patches handhaben, und wie Sie mit Sicherheitslücken umgehen, bzw. wie Sie diese bemerken.

Dazu kommt die regelmäßige Überprüfung / Kontrolle.

Backup Konzept

Sie benötigen ein Backup Konzept, bzw. Regelungen über die Sicherung von Daten, z.B. nach der 3-2-1 Regel (3 Datenkopien, 2 verschiedene Speichermedien, 1 davon an einem externen Standort).

Überprüfung des Datenverkehrs

Sie müssen Ihren Netzverkehr kontrollieren und auf verdächtige Aktivitäten prüfen. Sie benötigen eine Art Firewallkonzept.

Awareness und Berechtigungen

Regelmäßige Sensibilisierung und Schulung von Mitarbeitern zu aktuellen Bedrohungslagen und Angriffswege wie Phishing und Social-Engineering-Techniken mittels gefälschter E- Mails.

Immer wichtig: sichere und starke Passwörter, bestenfalls mit Zwei-Faktor-Authentifizierung.

Vorbereitung auf Datenschutzprüfungen durch Aufsichtsbehörden

Sehen Sie sich die Checklisten des BayLDA zum Patch-Management oder zur Cyber-Sicherheit an.

Mit den Checklisten können Sie einen Selbst-Check in Ihrem Unternehmen durchführen. Sie erfahren, welche Maßnahmen gegen Ransomware helfen.

Unternehmen bzw. nicht-öffentliche Stellen stellen so schnell fest, wo sie noch Schwachstellen und Lücken in ihren technischen und organisatorische Maßnahmen haben, oder auf welche Themen sie mehr Fokus legen sollten.

Spätestens jetzt sollten auch kleine und mittlere Unternehmen (KMU) den Datenschutz und die Informationssicherheit beachten.

Prüfungen finden genauso wie Angriffe statt – Angriffe nehmen zu.

Die gute Nachricht zum Schluss

Auf eine Datenschutzüberprüfung durch Aufsichtsbehörden können Sie sich genauso gut vorbereiten wie auf den Ernstfall eines Ransomware-Angriffs.

Anhand des Prüffragebogens des BayLDA wissen wir nun genau, auf welche Punkte die Aufsichtsbehörde wert legt. Vor allem ist das im Falle einer meldepflichtigen Datenpanne interessant, denn hätten Sie die im Fragebogen genannten Maßnahmen nicht, teilweise, oder nur unzureichend umgesetzt, müssten Sie sich dafür rechtfertigen, oder sähen sich sogar einem Bußgeldverfahren wegen „nicht ausreichenden“, bzw. „nicht geeigneten“ Maßnahmen ausgesetzt.

  • Mit einem Audit decken wir Schwachstellen auf.
  • Wir empfehlen Ihnen zusätzliche Maßnahmen zur Absicherung.
  • Ihre Dokumentation bringen wir samt Organisation auf den notwendigen Stand.

Eine solche Absicherung wird Ihnen bei der Abwehr von Fragebögen genauso helfen wie die Abwehr von Ransomware-Angriffen.

Kontaktieren Sie uns jetzt…